Guía rol de las

unidades u oficinas
de control interno,
auditoría interna o
quien haga sus veces

Dirección de Gestión y Desempeño Institucional

Diciembre de 2018
 Fernando Antonio Grillo Rubiano
Director

Claudia Patricia Hernández León

Subdirectora

Ángela María González Lozada

Secretaria General
Equipo de Trabajo
Fernando Augusto Segura Restrepo Andrés Méndez Jiménez
Director de Participación, Transparencia y Luz Andrea Jaramillo Acero
Servicio al Ciudadano Myriam Cubillos Benavides
-

Diana María Caldas

O F I C I A L

María Magdalena Forero Moreno
Directora de Gestión del Conocimiento
Armando López Cortés
D O C U M E N T O
Juan Felipe Rueda García (hasta febrero de
2017)
Dorley Enrique León López

Director Jurídica

Coordinación Editorial
Francisco Camargo Salas
Carolina Mogollón Delgado
Director de Empleo Público
Dirección de Gestión del Conocimiento
Juan Pablo Remolina Pulido
-

Director de Desarrollo Organizacional
María del Pilar García González
Directora de Gestión y Desempeño
Institucional
Luz Stella Patiño Jurado
Jefe de Oficina de Control Interno
Julio César Rivera Morato
Jefe Oficina de Tecnología de la
Información y las Comunicaciones
Diseño y Diagramación
Susana Bonilla Guzmán
Oficina Asesora de Comunicaciones
Departamento Administrativo
de la Función Pública
Carrera 6 No 12-62, Bogotá, D.C., Colombia
Conmutador: 739 5656 / 86 - Fax: 739 5657
Web: www.funcionpublica.gov.co
eva@funcionpublica.gov.co
Línea gratuita de atención al usuario: 018000 917770

Diana María Bohórquez Losada Bogotá, D.C., Colombia.

Jefe Oficina Asesora de Comunicaciones 2018

2
 Tabla de Contenido
Tabla de Contenido .............................................................................................. 3

Presentación ........................................................................................................ 4

1. Aspectos generales de las unidades de control interno, auditoría interna o quien

haga sus veces ..................................................................................................... 6
1.1 Relación estratégica y administrativa del jefe de la unidad de control interno,
auditoría interna o quien haga sus veces . .......................................................................... 7
1.2 Generalidades sobre las funciones de las unidades de control interno . ................... 8

2 . Roles de las unidades u oficinas de control interno, auditoría interna o quien

haga sus veces ................................................................................................... 10
2.1 Rol de liderazgo estratégico ................................................................................. 10
2.2 Rol de enfoque hacia la prevención ...................................................................... 14
2.3 Rol de la relación con entes externos de control .................................................. 18
2.4 Rol de la evaluación de la gestión del riesgo . ........................................................ 21
2.5. Rol de evaluación y seguimiento .............................................................................. 28

4. Glosario ....................................................................................................... 40

Anexos ............................................................................................................... 43

Bibliografía ........................................................................................................ 44

3
 Presentación
Uno de los propósitos de Función Pública ha sido promover la eficiencia en el uso de los
recursos y la gestión efectiva de las entidades del Estado, para ello, ha venido trabajando
en el diseño e implementación de sistemas y herramientas que buscan orientar la gestión
pública hacia los resultados con los que se satisfacen las demandas y necesidades de la
ciudadanía y se garantiza el goce efectivo de sus derechos.

Los sistemas y herramientas de gestión y de control se pueden ver articulados en el

modelo integrado de planeación y gestión (MIPG), a través de sus 7 dimensiones, 16
políticas de gestión y desempeño, y una serie de guías, instrumentos y otras
herramientas que les facilita a las entidades su puesta en práctica.

El sistema de control interno, previsto en la Ley 87 de 1993, se enmarca como una de las
dimensiones de MIPG y, busca asegurar que las demás dimensiones cumplan su
propósito y lleven al cumplimiento de resultados con eficiencia, eficacia, calidad y
transparencia en la gestión pública.

De igual manera, la unidad de control interno, auditoría interna o quien haga sus veces
(en adelante UCI) desempeña un papel fundamental como asesor, evaluador, integrador y
dinamizador del sistema de control interno, por tanto, también del MIPG. Estas funciones
se desarrollan para proponer acciones dirigidas a mejorar la cultura organizacional y, por
ende, a contribuir con el cumplimiento de los fines del Estado.

Por la importancia que representa este tema, Función Pública presenta la actualización
de la Guía rol de las unidades u oficinas de control interno, auditoría interna o quien haga
sus veces , en cumplimiento del artículo 17 del Decreto 648 de 20171, instrumento que
permite conocer las responsabilidades, actividades y aspectos básicos que deben liderar

1
“Por el cual se modifica y adiciona el Decreto 1083 de 2015, Reglamento Único del Sector
Función Pública”.

4
las unidades u oficinas de control interno, con el fin de contribuir a la mejora del
desempeño institucional.

Esta actualización parte de la necesidad de posicionar a las unidades de control interno

como una instancia estratégica, con enfoque preventivo, dentro del desarrollo de la
gestión institucional y de alinear su labor con las prácticas internacionales de auditoría
interna.

La guía está estructurada en tres capítulos: el primero, contiene aspectos generales de

las unidades de control interno, el segundo, describe las generalidades de los roles que
desarrollan estas unidades y, el tercero, presenta la definición de los principales
conceptos que enmarcan su labor.

5
 1. Aspectos generales
de las unidades de
control interno,
auditoría interna o
quien haga sus veces
La unidad de control interno, auditoría interna o quien haga sus veces está definida en la
Ley 87 de 1993 2, como:

(…) uno de los componentes del sistema de control interno, del nivel directivo,
encargada de medir la eficiencia, eficacia y economía de los demás controles,
asesorando a la Alta Dirección en la continuidad del proceso administrativo, la
evaluación de los planes establecidos y en la introducción de los correctivos
necesarios para el cumplimiento de las metas u objetivos previstos. (Art. 9)

En ese sentido, dicha unidad se constituye como el “control de controles” por excelencia.
Mediante su labor evaluadora determina la efectividad del sistema de control de la
entidad con el objetivo de contribuir a la Alta Dirección en la toma de decisiones que
orienten el accionar administrativo hacia la consecución de los fines estatales.

El diseño, implementación y mantenimiento del sistema de control interno y la ejecución

de los controles establecidos es una responsabilidad del representante legal y de los
líderes de los diferentes procesos de la entidad.

2
“por la cual se establecen normas para el ejercicio del control interno en las entidades y
organismos del estado y se dictan otras disposiciones”

6
En este orden de ideas, las unidades u oficinas de control interno, auditoría interna, o
quien haga sus veces, son las encargadas de medir y evaluar la eficiencia, eficacia y
economía de los demás controles. Para ello, asesoran a la Dirección en la continuidad del
proceso administrativo, la reevaluación de los planes establecidos y la introducción de
los correctivos necesarios para el cumplimiento de las metas u objetivos previstos 3.

Modelos internacionales como el COSO 4 definen la función del auditor interno. Por su
parte, la Fundación de Investigaciones del IIA Global (2009) plantea que:

Los auditores internos juegan un papel muy importante en la evaluación de la

eficacia de los sistemas de control interno y ayudan en el logro de la
continuidad de la misma. Debido a su rango y autoridad organizacional en una
entidad, la función de auditoría interna frecuentemente desempeña un papel
significativo de supervisión. (pp. 5-19)

Es así como la función de estas unidades es brindar seguridad razonable del adecuado
diseño de los controles y del funcionamiento eficaz de los mismos, favoreciendo la
consecución eficiente de los objetivos institucionales en el cumplimiento del quehacer
institucional.

1.1 Relación estratégica y administrativa del jefe de la unidad de

control interno, auditoría interna o quien haga sus veces

De acuerdo con el artículo 16 del Decreto 648 de 20175, el jefe de las unidades de control
interno o quien haga sus veces debe establecer una “relación administrativa y
estratégica" tanto con su nominador (quien lo nombra) como con el representante legal
de la entidad en la que se desempeña.

3
Ley 87 de 1993
4
C ommittee of Sponsoring Organizations of the Treadway Commission (COSO)
5
“ Por el cual se modifica y adiciona el Decreto 1083 de 2015, Reglamento Único del Sector
Función Pública”

7
Frente a la relación administrativa, deberá cumplir sus funciones con diligencia, eficiencia
e imparcialidad, así como con las políticas de operación establecidas en la respectiva
entidad.

En este sentido, es importante aclarar que, si bien cuenta con independencia frente a su
labor, deberá tener en cuenta que:

§ El ámbito para el desarrollo de sus funciones se encuentra circunscrito a la

entidad con la cual tiene vinculación.
§ Debe existir una relación armónica y de respeto con el representante legal y su
equipo directivo.
§ Como miembro de la organización debe dar cumplimiento a las políticas de
operación, procedimientos y otros mecanismos de gestión establecidos por ésta.
Dentro de la relación estratégica deberá establecer canales de comunicación con
el nominador y con el representante legal para recibir y transmitir información
necesaria para el cumplimiento de su gestión.
§ Dentro de la relación estratégica deberá establecer canales de comunicación con
el nominador y con el representante legal para recibir y transmitir información
necesaria para el cumplimiento de su gestión.

1.2 Generalidades sobre las funciones de las unidades de control

interno

Las unidades u oficinas de control interno, auditoría interna o quien haga sus veces,
buscan agregar valor a la gestión de la entidad y mejorar las operaciones de la misma,
por medio de la información real sobre el estado en que se encuentra la organización en
un periodo de tiempo determinado que proporcionen a la Alta Dirección y a la entidad en
general. Esto, con el objetivo de reorientar oportunamente las estrategias y acciones
hacia el cumplimiento de los objetivos institucionales propuestos.

8
Con este propósito, la unidad u oficina de control interno, auditoría interna o quien haga
sus veces, debe mantener una actitud dinámica e innovadora, con miras a aumentar su
competencia técnica para acrecentar sus índices de efectividad, lo cual redundará en el
mejoramiento de la gestión institucional.

Como mecanismo de verificación y evaluación del control interno deberán utilizarse las
normas internacionales para el ejercicio profesional de auditoría interna, la selección de
indicadores de desempeño, los informes de gestión y cualquier otro mecanismo moderno
de control que implique el uso de la tecnología, eficiencia y seguridad.

En este sentido, las unidades de control interno son responsables de la gestión adecuada
del ejercicio de evaluación independiente, de manera que:

1. El trabajo de auditoría cumpla con los propósitos y las responsabilidades

generales descritas en el Estatuto de Auditoría, aprobados por el comité
institucional de coordinación de control interno o quien haga sus veces.
2. Los recursos con los que se cuenta se utilicen de forma eficaz y eficiente.
3. El trabajo de auditoría cumpla con las normas internacionales para el ejercicio
profesional de auditoría interna.

9
 2. Roles de las
unidades u oficinas
de control interno,
auditoría interna o
quien haga sus veces
En este capítulo se presenta la actualización de los cinco roles que enmarcan las
funciones de dichas unidades. De acuerdo con el artículo 17 del Decreto 648 de 2017,
dichos roles son: liderazgo estratégico, enfoque hacia la prevención, evaluación a la
gestión del riesgo, evaluación y seguimiento y, relación con entes externos de control.

2.1 Rol de liderazgo estratégico

La Ley 1474 de 2011 determinó que los jefes de las unidades u oficinas de control
interno, auditoría interna o quien haga sus veces, pertenecientes a la Rama Ejecutiva del
orden nacional serán nombrados por el señor presidente de la República y los jefes de las
unidades de auditoría interna pertenecientes a la Rama Ejecutiva del orden territorial
serán nombrados por el respectivo gobernador o alcalde. De tal manera, se entiende que
estos servidores públicos deberán tener una relación directa tanto con la Alta Dirección
de la entidad en la que se desempeñan, como con su respectivo nominador.

Igualmente, las unidades u oficinas de control interno, auditoría interna o quien haga sus
veces deberán posicionar su labor con el fin de contribuir de manera independiente en la
consecución de los objetivos de sus entidades. Esta disposición permite a las unidades de
control interno, auditoría interna o quien haga sus veces, alcanzar un mayor nivel de

10
independencia respecto de los representantes legales de las entidades, así como generar
un ambiente propicio para desarrollar sus funciones de manera objetiva e imparcial, sin
olvidar que su función constituye una parte estratégica para la organización.

Con el fin de contribuir en la consecución de los objetivos de las entidades, los jefes de
las unidades u oficinas de control interno, auditoría interna o quien haga sus veces, deben
convertirse en actores estratégicos por medio de la generación de valor a la entidad y la
alerta de manera oportuna sobre aquellos riesgos actuales o potenciales que pueden
afectar el desempeño institucional.

¿En qué consiste el rol de liderazgo estratégico?

A través de este rol las unidades de control interno, auditoría interna o quien haga sus
veces, deben convertirse en un soporte estratégico para la toma de decisiones del
nominador y del representante legal, agregando valor de manera independiente,
mediante la presentación de informes, manejo de información estratégica y alertas
oportunas ante cambios actuales o potenciales que puedan retardar el cumplimiento de
los objetivos de la entidad.

Este rol hace referencia a las actividades que los jefes de control interno deberán realizar
frente a su nominador, así como aquellas relacionadas con su posicionamiento al interior
de la entidad en la que se desempeña.

¿Cómo se puede desarrollar el rol de liderazgo estratégico?

Este rol puede desarrollarse por medio de las siguientes actividades:

§ Establecer canales de comunicación directos, expeditos y efectivos con el

nominador y/o con el representante legal de la entidad, para recibir y transmitir
información veraz y sustentada en hechos. En las entidades de la Rama Ejecutiva
del orden nacional, el canal de comunicación con el nominador estará a cargo del

11
 Departamento Administrativo de la Función Pública, en coordinación con la
Secretaría de Transparencia de la Presidencia de la República.
§ Que en el desarrollo del Plan Anual de Auditorías 6 se evalúe el desempeño de los
procesos y de la planeación estratégica de la entidad por medio de la verifica las
metas, indicadores, procesos estratégicos de la entidad y los riesgos asociados a
éstos.
§ Acordar tanto con el representante legal de la entidad en la que se desempeña,
como con su nominador, la periodicidad y alcance de rendición de informes
estratégicos; sin perjuicio del reporte inmediato de información que a su criterio,
considere de carácter urgente.
§ Presentar al comité institucional de coordinación de Control Interno los
resultados de la evaluación efectuada a la operación de la primera y segunda
línea de defensa que incorpore las debilidades, riesgos y oportunidades de mejora.
§ Una de las funciones de éste comité, es la de aprobar y adoptar las mejoras al
sistema de control interno; es decir, es el comité a través del cual la Alta
Dirección de la entidad ejerce las responsabilidades consagradas en la Ley 87 de
1993. Es de aclarar, que el funcionamiento de este comité no es responsabilidad
de la Unidad de Control Interno, de Auditoría Interna, o quien haga sus veces, y se
debe tener en cuenta que dicho comité es el máximo nivel decisorio frente a las
acciones de mejoramiento y fortalecimiento del control interno.
§ Brindar asesoría al nominador y al comité institucional de coordinación de control
Interno en la gestión de los riesgos de la entidad, producto de su evaluación
independiente y objetiva.
§ Presentar al comité institucional de coordinación de control interno los resultados
de las auditorías adelantadas, análisis globales considerando las estrategias, los
objetivos y los riesgos de la organización, así como las expectativas de la Alta
Dirección.

6 De acuerdo con la Guía de Auditoría para entidades públicas, se entiende por Plan Anual de
Auditoría, el documento formulado y ejecutado por el equipo de trabajo de la Oficina de Control
Interno en la Entidad, cuya finalidad es planificar y establecer los objetivos a cumplir
anualmente para evaluar y mejorar la eficacia de los procesos de operación, control y gobierno.

12
 § Analizar, en desarrollo de su evaluación independiente y objetiva, las variaciones
del ambiente organizacional y del entorno, identificando procesos críticos,
controles y servicios que puedan tener un impacto significativo en el
cumplimiento de los objetivos institucionales.
§ Diseñar, implementar y someter el Estatuto de la UCI y el Código de ética del
auditor a aprobación del comité institucional de coordinación del sistema de
control interno.
§ Buscar estrategias para posicionar la función de las unidades de control interno,
auditoría interna o quien haga sus veces, al interior de la entidad.

Para fortalecer su labor estratégica, es necesario que se cuente con mecanismos para
conocer las oportunidades de mejora de la labor de auditoría interna, como por ejemplo,
un Programa de Aseguramiento y Mejora de la Calidad (PAMC) 7, ya que la mejora
continua no se predica sólo de la entidad, sino debe ser uno de los compromisos
permanentes de la unidad de control interno para su posicionamiento como evaluador
independiente.

Igualmente, es necesario que de acuerdo con lo dispuesto en la Circular 01 de 2015 del

Consejo Asesor del Gobierno Nacional en materia de Control Interno:

(…) los representantes legales de las entidades fortalezcan las unidades de

control interno o quien haga sus veces, mediante la asignación de servidores
que cuenten con los perfiles y competencias requeridos para el ejercicio de la
auditoría interna, teniendo en cuenta la particularidad y complejidad de cada
una de las entidades (…)

Por otro lado, de acuerdo con el fortalecimiento de la institucionalidad que trae el

Decreto 648 de 2017, el jefe de Control Interno, auditoría interna, o quien haga sus veces,
deberá participar en forma activa en los comités sectoriales, departamentales o
municipales, según sea la naturaleza de la entidad en la que ejerce sus funciones, de tal
manera que sea posible el intercambio de mejores prácticas y la mejora continua del
ejercicio de auditoría interna.

7
Normas: 1300, 1310, 1311, 1312, 1320. Marco Internacional para la Práctica Profesional de la
Auditoría Interna

13
¿Cuáles son las fuentes de información para el desarrollo del rol de
liderazgo estratégico?

§ Direccionamiento estratégico (misión, visión, objetivos)

§ Tableros de control
§ Planeación institucional
§ Mapas de riesgos
§ Manual de operación
§ Auditorías internas y externas
§ Procesos de autoevaluación
§ Informes de gestión
§ Quejas y reclamos de los usuarios internos y externos
§ resultados medición de desempeño institucional
§ Rendición de cuentas efectuadas por la administración

2.2 Rol de enfoque hacia la prevención

Las unidades u oficinas de control interno, auditoría interna o, quien haga sus veces
concentran parte de sus funciones en verificar que los controles asociados a todas las
actividades de la organización estén definidos adecuadamente, sean apropiados y se
mejoren de manera permanente. Para ello, es necesario que dichas unidades acompañen
y asesoren a la Alta Dirección y a las diferentes áreas de la entidad y, que motiven al
interior de estas propuestas de mejoramiento institucional.

El rol de enfoque hacia la prevención articula la asesoría y acompañamiento, con el

fomento de la cultura del control, estos roles originalmente establecidos en el artículo
2.2.21.5.3 del capítulo 5 del Decreto 1083 de 2015. En consecuencia, debe entenderse
que es a través de este rol que es posible generar en todos los servidores una cultura de
control efectiva frente al logro de los objetivos.

14
Este rol busca que las unidades u oficinas de control interno, auditoría interna o quien
haga sus veces brinden un nivel de asesoría proactivo y estratégico que vaya más allá de
la ejecución eficiente y eficaz del Plan Anual de Auditorías. Es decir, que generen
conocimiento adoptando un papel más activo en la sensibilización y la recomendación de
mejoras significativas en temas de control interno y, en particular, en la gestión del
riesgo. De igual forma, en este rol las unidades aportan análisis y perspectivas sobre las
causas de los problemas identificados en la auditoría, para recomendar a los líderes de
proceso a adoptar las medidas correctivas necesarias 8.

Como complemento del presente rol, se incluye la planeación y ejecución de auditorías

internas basadas en riesgos, que focalizan la actividad de auditoría interna hacia los
aspectos de mayor criticidad para la entidad y que permiten identificar de manera
oportuna aquellos eventos que pueden impactar en el logro de los objetivos. Este aspecto
tiene estrecha relación con el rol de evaluación de la gestión del riesgo y el rol de
evaluación y seguimiento, los cuales son descritos en la presente Guía.

¿En qué consiste el rol de enfoque hacia la prevención?

A través de este rol, las unidades u oficinas de control interno, auditoría interna, o quien
haga sus veces, deben brindar un valor agregado a la organización mediante la asesoría
permanente, la formulación de recomendaciones con alcance preventivo y la ejecución de
acciones de fomento a la cultura del control, que le sirvan a la entidad para la toma de
decisiones oportunas frente al quehacer institucional y la mejora continua.

En este sentido, estas unidades deben ser actores proactivos, aliados institucionales y,
promotores fundamentales del desempeño institucional. Para ello, deben tener la
capacidad de anticiparse y alinearse con la Alta Dirección por medio de la identificación
tanto de las prioridades institucionales, como de las prioridades que, bajo su criterio
técnico, consideran que se deben abordar con el objetivo de establecer de manera

8
IIA - Más allá del aseguramiento, el auditor interno como asesor de confianza. Pág. 15

15
articulada los correctivos oportunos que permitan una gestión efectiva en la
organización.

Corresponde a esta oficina orientar técnicamente a la Alta Dirección y a los diferentes

líderes de procesos en los temas de su competencia, proporcionar metodologías,
conocimientos específicos, mejores prácticas de gestión y opiniones no vinculantes,
soportadas en la experticia y conocimiento del auditor interno. 9

En la ejecución de este rol se pueden adelantar actividades de sensibilización y

capacitación sobre temas transversales de competencia como: sistema de control
interno, riesgos con énfasis en controles y administración o gestión de los mismos,
prevención del fraude, medición del desempeño institucional, entre otros.

Así mismo, para lograr un enfoque preventivo en la entidad es importante que, a través
de estas unidades, se propicien espacios en los cuales se realicen ejercicios de
autoevaluación con el fin de que los servidores públicos examinen y evalúen la
efectividad de los controles en cada proceso.

Dentro del contexto de acompañamiento, las unidades de control interno también podrían
desarrollar trabajos especializados, estos son conocidos en las normas internacionales
como actividades de consultoría, que se asemeja a las actividades de asesoría y
acompañamiento, así como a las actividades de fomento de la cultura del control, y se
caracterizan por ser desarrolladas a solicitud expresa de la Alta Dirección o de los líderes
de proceso.

¿Cómo se puede desarrollar el rol de enfoque hacia la prevención?

Este rol puede desarrollarse por medio de las siguientes actividades:

§ Formar a la Alta Dirección y a todos los niveles de la entidad sobre las

responsabilidades en materia de riesgos frente al modelo de las líneas de
defensa.

9
IIA - Más allá del aseguramiento, el auditor interno como asesor de confianza

16
§ Motivar al interior de la entidad la generación de propuestas de mejoramiento
institucional y recomendar prácticas en temas de competencia de la entidad.
§ Proponer mecanismos que faciliten la autoevaluación del control.
§ Sensibilizar y capacitar en temas transversales como el sistema de control
interno, administración de riesgos con énfasis en controles, prevención del fraude,
medición del desempeño, buen gobierno, rendición de cuentas, prácticas éticas y
políticas anticorrupción, planes de mejoramiento, evaluación de programas, y
otras áreas que afectan la eficacia, eficiencia y economía de las operaciones.
§ Desarrollar diagnósticos que permitan identificar tanto los aspectos que
favorezcan, como aquellos que dificulten el logro de los objetivos y resultados
institucionales.
§ Asistir a los comités en los cuales sea invitado (con voz, pero sin voto) y/o
mantenerse informado de los mismos, con el fin de brindar desde su perspectiva y
conocimiento, opiniones fundadas -no vinculantes- sobre cómo se pueden resolver
problemas identificados (ventajas y desventajas) que le permitan a la
administración reflexionar y facilitar la toma de decisiones.
§ Priorizar las labores de asesoría teniendo en cuenta las solicitudes de la Alta
Dirección, las necesidades de la entidad, los puntos críticos de los resultados de
las auditorías internas o externas y el plan estratégico de la administración.
§ Incluir la programación de actividades de asesoría y acompañamiento en el Plan
Anual de Auditoría.
§ Definir el alcance de la labor de asesoría en el Estatuto de Auditoría.
§ Opinar y generar alertas sobre el impacto que puede generar la entrada en vigor
de nuevas regulaciones y disposiciones normativas.
§ Asesorar a los líderes de procesos en el establecimiento de planes de
mejoramiento.
§ Servir de facilitador al auditado, cuando sea requerido, sobre metodologías para el
establecimiento de causas, acciones o controles efectivos que resuelvan las
causas identificadas, ajustadas a las capacidades y necesidades de la entidad.
§ Apoyar a las demás líneas de defensa en la implantación de un lenguaje común y
la articulación de las mismas para que el modelo de control sea consistente.

17
Sobre el desarrollo de actividades concretas en el marco de este rol, es importante
señalar que la Circular 01 de 2015 del Consejo Asesor del Gobierno Nacional en materia
de control interno emitida con ocasión de la Sentencia C-103 de 2015, aclara que el
control de advertencia que venía ejerciendo la Contraloría General de la República no
puede reemplazar el control interno establecido a través de los artículos 209 y 269 de la
Constitución Política. Por lo tanto, exige que en las entidades públicas se tomen medidas
para fortalecer los sistemas de control interno, en el siguiente sentido:

1. Fortalecimiento del sistema de control interno a través de acciones impulsadas por el

representante legal, su equipo directivo y los servidores en sus diferentes niveles, en
aspectos como:

§ Estructura de control que permita intervenir de manera preventiva, concomitante

o posterior para detectar o prevenir desviaciones en la gestión.
§ Mecanismos para proteger los recursos de la organización.
§ Medidas para prevenir riesgos.

2. Incorporar en el ejercicio de control interno aspectos como:

§ Control preventivo (seguimientos, asesorías y acompañamientos).

§ Seguimiento a la ejecución de los recursos con un enfoque de riesgos, a través de
los planes de auditoría de acuerdo con su importancia frente al logro de los
objetivos.

2.3 Rol de la relación con entes externos de control

Con el fin de definir su alcance para las oficinas de control interno, este rol se ajustó en
el Decreto 648 de 2017. Pasó de denominarse “Relación con entes externos” a “Relación
con entes externos de control”. Esto se llevó a cabo para enmarcarlo en la relación con
los organismos de control respectivos y no con todas las instancias externas con quienes
la entidad tiene relación. En otros temas, la entidad debe tener definidos los

18
responsables y los procedimientos para la atención a las solicitudes que le sean
formuladas.

¿En qué consiste el rol de relación con entes externos de control?

La unidad de control interno, auditoría interna, o quien haga sus veces, sirve como puente
entre los entes externos de control y la entidad, además, facilita el flujo de información
con dichos organismos.

Para el desarrollo de este rol se debe identificar previamente la información referente a:

fechas de visita, alcance de las auditorías, informes periódicos, requerimientos previos
del órgano de control, entre otros aspectos, los cuales pueden ser previstos y
comunicados oportunamente a la administración.

Las unidades de control interno facilitan la comunicación al órgano de control y verifican

aleatoriamente que la información suministrada por los responsables, de acuerdo con las
políticas de operación de la entidad10, sean entregadas bajo los siguientes criterios:

1. Oportunidad: entregar la información en los tiempos establecidos por el

organismo de control.
2. Integralidad: dar respuesta a todos y cada uno de los requerimientos con la
evidencia suficiente.
3. Pertinencia: información suministrada acorde con el tema solicitado o con el
requerimiento específico.

Es pertinente señalar que las actividades que se desarrollen en el marco de este rol no
deben entenderse como actos de aprobación o refrendación por parte de las unidades de

10
La entidad debe adoptar políticas de operación o procedimientos en donde se definan
claramente los lineamientos en relación con la entrega, oportunidad y coherencia de
información, así como las personas autorizadas para ello. No obstante, será responsabilidad del
representante legal y de cada líder de proceso garantizar la calidad de la información que se
entregue.

19
control interno, ya que se estaría afectando su independencia y objetividad (Ley 87 de
1993). En este sentido, debe entenderse que el contenido y el cumplimiento de los
anteriores atributos son responsabilidad directa de los líderes de procesos o los
delegados para la entrega de la información, de acuerdo con la política de operación
establecida

No obstante, en el desarrollo de este rol, las unidades de control interno podrán brindar
asesoría y generar alertas oportunas a los líderes de los procesos o responsables del
suministro de información, para evitar la entrega de información no acorde o
inconsistente con las solicitudes del organismo de control.

Para fortalecer este rol se recomienda que la administración designe un responsable que
sea diferente a las unidades de control interno. Este debe recibir y distribuir los
requerimientos de los entes de control hacia las dependencias responsables de
atenderlos según su competencia y, consolidar las respuestas que deban darse en forma
articulada. Con ello, las unidades de control interno pueden ejercer este rol enfocados en
la revisión del cumplimiento de los atributos mencionados.

¿Cómo se puede desarrollar el rol de relación con entes externos de

control?

§ Verificar la pertinencia, oportunidad e integralidad entre las respuestas dadas por

diferentes dependencias en relación con el requerimiento efectuado.
§ Evaluar el riesgo potencial para la organización frente a la información que se
está entregando y alertando a la administración para que ésta implemente las
acciones para el tratamiento del riesgo.
§ Ejercer el debido cuidado profesional al entregar información, asegurando el
manejo confidencial y evitando su uso inadecuado.
§ Brindar asesoría y acompañamiento a los líderes de los procesos de la entidad,
con el fin de que se responda de manera oportuna, confiable, veraz y consistente a
los requerimientos de los entes externos de control.
§ Incluir en el Plan Anual de Auditorías las actividades a realizar frente a este rol.

20
Aspectos a tener en cuenta en la visita de los entes externos de
control

§ Definir en la primera reunión quién será el interlocutor para atender el proceso

auditor, si será el jefe de control interno o si se designará otro responsable.
§ Coordinar con los líderes de los procesos y la administración la respuesta ante los
posibles hallazgos que el ente de control vaya informando.
§ Establecer una cordial y respetuosa colaboración con los funcionarios del equipo
auditor.
§ Coordinar con los líderes de los procesos la elaboración de los planes de
mejoramiento y, asesorar sobre metodologías para realizar un adecuado análisis e
identificación de causas.
§ Dar respuesta a los requerimientos con la suficiente evidencia e información.
§ Velar por el manejo adecuado de la información, atendiendo el debido cuidado y
reserva profesional.
§ Recibir las inquietudes de los entes de control y coordinar con los líderes de los
procesos las respuestas correspondientes de forma clara y concisa.
§ Llevar un archivo organizado de las solicitudes realizadas por el equipo auditor y
las respuestas dadas por la administración, así como las evidencias que la
soporten.

2.4 Rol de la evaluación de la gestión del riesgo

El artículo 2.2.21.5.4 del Decreto 1083 de 2015 determina que las entidades públicas
establecerán y aplicarán políticas de administración del riesgo, como parte integral del
fortalecimiento de los sistemas de control interno. Para tal efecto, la identificación y
análisis del riesgo debe ser un proceso permanente e interactivo entre la administración
y las unidades de control interno o quien haga sus veces, evaluando aspectos, tanto
internos como externos, que pueden llegar a representar amenaza para la consecución

21
de los objetivos organizacionales, con miras a establecer acciones efectivas,
representadas en actividades de control.

En este rol, las unidades u oficinas de control Interno, auditoría interna o quien haga sus
veces, juegan un papel fundamental, a través de la asesoría, acompañamiento técnico y
de evaluación y seguimiento a los diferentes pasos de la gestión del riesgo, que van
desde la fijación de la política de administración de riesgo hasta la evaluación de la
efectividad de los controles.11

¿En qué consiste el rol de evaluación de la gestión del riesgo?

A través de este rol, las unidades u oficinas de control Interno, auditoría interna, o quien
haga sus veces, deben proporcionar un aseguramiento objetivo a la Alta Dirección (línea
estratégica) sobre el diseño y efectividad de las actividades de administración del riesgo
en la entidad para ayudar a asegurar que los riesgos claves o estratégicos estén
adecuadamente definidos, sean gestionados apropiadamente y que el sistema de control
interno está siendo operado efectivamente12.

En el desarrollo de este rol, las unidades deben brindar asesoría a los responsables y
ejecutores de los procesos y proyectos (primera línea de defensa), respecto a
metodologías y herramientas para la identificación, análisis y evaluación de riesgos, como
complemento a la labor de acompañamiento que deben desarrollar las oficinas de
planeación o comités de riesgos (segunda línea de defensa).

Así mismo, en el marco de la evaluación independiente deberán señalar aquellos

aspectos que consideren una amenaza para el cumplimiento de los objetivos de los
procesos, y por ende, los objetivos y metas institucionales. Así mismo, debe pronunciarse
sobre la pertinencia y efectividad de los controles.

11
Ver Guía de administración de riesgos, Función Pública
12
IIA, Declaración de posición. Rol de la auditoría interna en la gestión del riesgo empresarial

22
Principales aspectos de la evaluación del riesgo

§ Procesos de administración del riesgo, tanto en su

diseño como en el funcionamiento.
§ Administración de riesgos clasificados como
La evaluación a la “institucionales” (riesgos claves), incluyendo la
gestión del riesgo se efectividad de los controles.
lleva a cabo, entre § Evaluaciones y reportes anteriores sobre la gestión
otros, sobre los del riesgo y el estado de los controles.
siguientes aspectos: § Solicitud expresa de la Alta Dirección frente al
seguimiento de algún(os) riesgo(s) que impliquen
algún tema de interés dentro de la gestión
institucional.

Fuente: Función Pública, Dirección de Gestión y Desempeño, 2018

Importante

La implementación y fortalecimiento del sistema de

control deben estar enfocados hacia la prevención de
todos los riesgos que pueden vulnerar la gestión de la
entidad, para lo cual, es fundamental que la entidad
cuente con una política sólida de administración de
riesgos acompañada de una labor preventiva y asesora
por parte de la unidad de auditoría interna, control
interno o quien haga sus veces, más que de sanción.

Fuente: Función Pública, Dirección de Gestión y Desempeño, 2018

23
 ¿Cómo se puede desarrollar el rol de evaluación de la gestión del
riesgo?

Actividades que debe desarrollar Actividades que no

(tercera línea de defensa) deben desarrollarse

Asesorar a la organización en Brindar asesoría a la primera y Definir los niveles de

metodologías, herramientas y segunda línea de defensa, sin que aceptación del riesgo.
técnicas para la identificación y ello derive en acciones de
administración de los riesgos y obligatorio cumplimiento para la
controles en coordinación con la administración, es decir, que la
segunda línea de defensa administración está en libertad de
(Oficina de planeación, comités aplicar o ignorar las
de riesgos). recomendaciones conforme a su
conocimiento de la entidad.

Identificar y verificar durante las
evaluaciones periódicas de
riesgos y en el trabajo de
auditoría interna, los cambios
que podrían tener un impacto
significativo en el sistema de
control interno.
Evaluar la efectividad de la Gestión Identificar los riesgos de
del Riesgo en la Entidad, así como los procesos de la entidad
la adecuada aplicación de y administrarlos, excepto
controles, planes de contingencia y los propios del desarrollo
actividades de monitoreo de sus funciones y roles.
vinculados a riesgos clave en la
entidad. En ese orden de ideas, la
Gestión del Riesgo debe ser una
unidad auditable más dentro del
universo de auditoria, para que sea
evaluada como un todo en la
entidad.

Proponer espacios para el Establecer el Plan Anual de Definir los controles para
seguimiento de los riesgos Auditoría basado en riesgos, los riesgos de los
(autoevaluación). priorizando aquellos procesos o procesos.
unidades auditables que tienen
mayor nivel de exposición al riesgo.

Comunicar regularmente al Alertar sobre la probabilidad de Imponer procesos de

comité de coordinación de riesgo de fraude o corrupción gestión de riesgos.
control interno los cambios e significativo en las áreas auditadas.
impactos en la evaluación del
riesgo que resulten de la
evaluación independiente.

Fuente: adaptado documento “El rol de la auditoría interna en relación con la gestión de riesgos para toda
la empresa” y del “Manual operativo Modelo Integrado de Planeación y Gestión (MIPG)”

24
La unidad de auditoría interna deberá ejecutar el rol de evaluación a la gestión del riesgo
de manera independiente, según el estado de madurez de la gestión del riesgo en la
organización, de la siguiente manera:

Niveles de madurez – administración del riesgo

Estado de madurez Características clave Acciones de la unidad de control

interno

1. Incipiente No existe política de Promover la adopción de la política de

administración de riesgos ni
mapas de riesgo
administración del riesgo
Informar metodologías y herramientas
que faciliten la identificación de los
riesgos y la definición de controles

2. Débil Existen políticas de Evaluar la política de administración

administración de riesgos, pero del riesgo y alertar a la Alta Dirección
no cuentan con los atributos de sobre los aspectos encontrados
calidad exigidos
Motivar a la Alta Dirección, para que
Los procesos tienen establezca los correctivos necesarios
identificados los riesgos pero
estos no se encuentran Asesorar a la primera y segunda línea
alineados con los objetivos de de defensa en técnicas para la
los mismos adecuada identificación del riesgo

3. Implementado Se cuenta con una adecuada Evaluar la gestión de riesgos y

política de administración de controles
riesgos
Elabora el Plan Anual de Auditoría
Los riesgos identificados en los basado en riesgos
procesos están alineados con
los objetivos de los mismos

Se cuenta con controles que

mitigan los riesgos identificados

25
4. Administrado Los riesgos identificados son Verifica que los controles están
gestionados adecuadamente, diseñados e implementados de manera
(se lleva a cabo seguimiento y efectiva y operan como se pretende
actualización) para controlar los riesgos

Los riesgos son monitoreados Suministra recomendaciones para

periódicamente de acuerdo con mantener y mejorar la eficacia de los
la política de administración del controles
riesgo de la entidad

Se cuenta con procesos claros

para el monitoreo y evaluación
del desarrollo de exposiciones
al riesgo

5. Optimizado La gestión del riesgo es una Proporciona seguridad razonable con

herramienta que utiliza la Alta respecto al diseño y ejecución de
Dirección para la toma de políticas, procedimientos y otros
decisiones controles

La gestión del riesgo está Proporciona información sobre la

totalmente inmersa en las eficiencia, efectividad e integridad de
operaciones de la entidad los controles y, según sea apropiado
puede recomendar mejoras a las
Los servidores responsables en actividades de control específicas
las tres líneas de defensa
cuentan con los conocimientos
y recursos necesarios para la
gestión del riesgo

Fuente: Adaptado, Guía Rol de las Oficinas de Control Interno o quién haga sus veces, N. 6 septiembre de
2009

Para la evaluación de la gestión del riesgo es importante que la oficina de control interno
pruebe la efectividad de la operación de los controles determinando si el control está
operando tal y como fue diseñado y si la persona que ejecuta el control posee autoridad y
competencia para desempeñar el control de manera efectiva. Para ello, es fundamental
centrarse en tres aspectos: 1. diseño del control, 2. ejecución del control y 3.
Materialización del riesgo:

26
 1 Diseño 2 Ejecución 3. Que no se está
materializando el riesgo
§ Cómo se lleva a
§ Responsable: Que todas las Revisar fuentes de
cabo: fuente de
autoridad y actividades información (PQRD,
información
segregación de establecidas en auditorías organismos de
(confiable).
funciones. el diseño se control, información de los
§ Qué pasa con las
§ Frecuencia del ejecuten procesos, entre otros).
desviaciones y/o
control: oportuno, adecuadamente
excepciones:
acorde a la
Análisis y
criticidad del riesgo.
tratamiento.
§ Qué busca hacer el
§ Evidencia de la
control: verifica,
ejecución:
concilia, valida,
registros,
coteja, compara.
soportes.

Fuente: Función Pública, Dirección de Gestión y Desempeño institucional, 2018

Recomendaciones para la evaluación de la efectividad en la gestión del

riesgo:

De acuerdo con el Marco internacional para la práctica profesional de la auditoría interna

(2017), la evaluación que deben llevar a cabo las unidades de control interno para
determinar la efectividad de la gestión del riesgo tendrá cuenta que:

§ Los objetivos de la organización están alineados con la misión de la organización.

§ Los riesgos significativos están identificados y son evaluados.
§ Las respuestas se consideran apropiadas al riesgo y se alinean con la aceptación
de riesgos por parte de la organización.

27
 § La información sobre riesgos relevantes se captura, lo que permitirá al personal y
a la dirección cumplir con sus responsabilidades y comunicar oportunamente
dicha información.

Así mismo, la actividad de auditoría interna debe evaluar la exposición al riesgo en el

direccionamiento estratégico, las operaciones y los sistemas de información de la
organización con relación a los siguientes aspectos:

§ Logro de los objetivos estratégicos de la organización.

§ Fiabilidad e integridad de la información financiera y operativa.
§ Eficacia y eficiencia de las operaciones y programas.
§ Protección de activos.
§ Cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos.

2.5. Rol de evaluación y seguimiento

La Ley 87 de 1993 establece como un punto central de la labor de las unidades u oficinas
de control interno, auditoría interna o quién haga sus veces, la verificación y evaluación
permanente del sistema de control interno implementado en las entidades del Estado.

En este sentido, las unidades u oficinas de control interno, auditoría interna o quien haga
sus veces son las encargadas de proporcionar información sobre la efectividad del
sistema de control interno (SCI) y generar las recomendaciones que contribuyan a su
mejoramiento y optimización, a través de un enfoque basado en el riesgo.

Si bien los diferentes roles que enmarcan la función del control interno son importantes
en el ejercicio de estas unidades, el rol de “evaluación y seguimiento” es uno de los ejes
fundamentales que permiten determinar el correcto funcionamiento del sistema de
control interno y de la gestión misma de las entidades.

28
¿En qué consiste el rol de evaluación y seguimiento?

A través de este rol, las unidades de control interno, auditoría interna o quien haga sus
veces deben desarrollar una actividad de evaluación de manera planeada, documentada,
organizada, y sistemática, con respecto a las metas estratégicas de gran alcance (mega),
resultados, políticas, planes, programas, proyectos, procesos, indicadores, y riesgos, que
la entidad ha definido para el cumplimiento de su misión, en el marco del sistema de
control interno. Es importante resaltar que este rol debe desarrollarse de manera
objetiva e independiente.

El propósito de este rol es llevar a cabo la evaluación independiente y emitir un concepto

acerca del funcionamiento del sistema de control interno, de la gestión desarrollada y de
los resultados alcanzados por la entidad, que permita generar recomendaciones y
sugerencias que contribuyan al fortalecimiento de la gestión y desempeño de la entidad.

De acuerdo con las normas internacionales para el ejercicio profesional de la auditoría

interna, las evaluaciones y seguimientos que realizan las unidades de control interno
permiten:

§ Evaluar para mejorar los procesos de planeación, gestión, evaluación, seguimiento

y control de las entidades, utilizando para ello un enfoque sistemático y
disciplinado.
§ Asistir a la entidad en el mantenimiento de controles efectivos mediante la
evaluación de la eficacia y eficiencia de los mismos, promoviendo la mejora
continua.
§ Evaluar la adecuación y eficacia de los controles definidos a los procesos
estratégicos, de gestión, de seguimiento, evaluación y de control de la entidad.

¿Cómo se puede desarrollar el rol de evaluación y seguimiento?

Para desarrollar el rol de evaluación y seguimiento, se podrán utilizar las normas

internacionales para el ejercicio profesional de la auditoría interna, los indicadores de
desempeño, los informes de gestión, y cualquier otro mecanismo que la unidad de control

29
interno o quien haga sus veces considere necesario para contar con evidencia suficiente,
confiable, relevante y útil que le permitan cumplir con idoneidad dicho rol.

§ Evaluación

La evaluación a la gestión institucional, se desarrolla a través de los siguientes

mecanismos:

Auditorías internas

Se insta a los jefes de control interno, auditoría interna o quien haga sus veces a que
aplique completa y adecuadamente lo establecido por Función Pública en la Guía de
auditorías para entidades pública, con su respectiva caja de herramientas. Para ello, se
debe tomar en consideración las siguientes claridades:

Plan Anual de Auditoría

Las auditorías internas deben contemplar de manera integral la gestión de la entidad:

algunos de los aspectos susceptibles de evaluación que, por la naturaleza de cada
entidad, deberían considerarse al momento de identificar el universo de auditoría:

§ Planes, programas, proyectos § Legalidad de los actos administrativos

institucionales y su articulación con el expedidos por la entidad
direccionamiento estratégico y el nivel § Demandas contra la entidad
de cumplimiento de las metas § Contratación institucional
§ Programación y ejecución presupuestal § Niveles de servicio y de satisfacción de
§ Impacto de la ejecución presupuestal los ciudadanos o grupos de valor o de
en la gestión institucional y eficiencia interés frente a los servicios brindados
en el uso de los recursos por la entidad
§ Definición y articulación de los § Evaluación del desempeño y de los
procesos y procedimientos con la acuerdos de gestión y su articulación a
misión institucional y sus puntos de los resultados institucionales
control § Sistemas de información
§ Indicadores de gestión, resultados y (disponibilidad, confiabilidad e
acciones de mejora institucional integridad)
§ Administración del riesgo

Fuente: Función Pública, Dirección de Gestión y Desempeño institucional, 2018

30
 § Así mismo, deberán contemplarse de manera obligatoria los lineamientos de
carácter especial que brinde el Gobierno nacional para el desarrollo de auditorías
sobre temas prioritarios.
§ Dentro de las auditorías internas, se encuentra la evaluación independiente al
sistema de control interno que se refleja en el informe ejecutivo anual, cuyos
parámetros de elaboración han sido establecidos por el Consejo Asesor del
Gobierno nacional en materia de control interno.
§ La evaluación del sistema de control interno para efectos del Plan Anual de
Auditoría debe realizarse en intervalos planificados y no remitirse únicamente a la
encuesta de evaluación realizada en el marco de la presentación del informe.
§ El Plan Anual de Auditorías debe estar basado en una evaluación de riesgos
documentada, realizada al menos anualmente 13.
§ El universo de auditoría se compone de “unidades auditables”, cada una de las
cuales equivale a un futuro informe de auditoría; independientemente de si se
quiere evaluar un proceso, una unidad de negocio, un área funcional, un grupo de
actividades, aspectos de TIC (tecnologías de información y comunicación) o
cualquier otro aspecto que forme parte de la entidad.
§ Una vez establecido el universo de auditoría, el jefe de control interno, auditoría
interna o quien haga sus veces debe priorizarlo, es decir, debe establecer la
criticidad, o nivel de vulnerabilidad al riesgo, de todas las unidades auditables
partiendo del análisis, entre otros, de los siguientes aspectos:
Ô Nivel de riesgos inherentes del aspecto a evaluar.
Ô Requerimientos e intereses de la alta dirección.
Ô Requerimientos de entes reguladores y de ley.
Ô Fecha desde la última auditoría realizada a esa unidad auditable.
Ô Resultados de la última auditoría interna y externa.
Ô Hallazgos y oportunidades de mejora significativos identificados.
Ô Impacto en el presupuesto o estados financieros de la entidad.

13
INSTITUTO DE AUDITORES INTERNOS –IIA GLOBAL. Marco Internacional Para la Práctica
Profesional de la Auditoría Interna. Actualizado a enero de 2017. p.50.

31
 Ô Peticiones, quejas, reclamos o sugerencias realizados frente al tema.
Ô Impacto en la reputación de la entidad.

§ Paso seguido, se debe establecer el plan de rotación de las auditorías, que

consiste en determinar la periodicidad con la que se evaluarán las unidades
auditables, con base en su nivel de criticidad. Se fijará el lapso en el cual se
cubriría la totalidad del universo de auditoría (ejemplo: extremo= cada año, alto=
cada 2 años, moderado= entre 3 y 4 años, bajo= entre 5 y 6 años).
§ Es necesario que el universo de auditorías, con su plan de rotación de auditorías,
sea presentado ante el Comité Institucional de Coordinación de Control Interno,
de tal forma que sea ampliamente conocido y validado por este, de manera que
solo se vuelva a presentar ante dicho comité en caso de alguna modificación
debidamente sustentada.
§ Luego de la presentación del Plan Anual de Auditoría ante el Comité Institucional
de Coordinación de Control Interno basado en riesgos, se debe validar a través de
un estudio pormenorizado de los recursos con que cuenta la unidad u oficina de
control interno, auditoría interna o quien haga sus veces. Esto es: calcular el
tiempo neto real disponible con que contará el equipo auditor en el año, y
establecer cuántas y cuáles auditorías de ese Plan Anual está en capacidad de
atender.
§ Para ello, es importante depurar el tiempo que demandan las demás labores que
deben desempeñar los integrantes de la unidad u oficina de control interno,
auditoría interna o quien haga sus veces, así como las posibles novedades de
personal, los días y fechas no laborables, tiempos para capacitación, entrega de
reportes, labores administrativas, entre otros.
§ El jefe de control interno o quien hagas sus veces es responsable de desarrollar el
Plan Anual de Auditoría basado en riesgos, para lo cual debe tener en cuenta el
enfoque de gestión de riesgos de la organización, incluyendo los niveles de

32
 aceptación de riesgos establecidos por la dirección para las diferentes actividades
o partes de la organización 14
§ Las actividades que se deben incluir en el Plan Anual de Auditoría son:
Ô Auditorías internas a las unidades auditables (de acuerdo con priorización
y plan de rotación de las auditorías).
Ô Auditorías especiales o eventuales sobre procesos o unidades, a petición
de la Alta Dirección.
Ô Actividades de asesoría y acompañamiento a proyectos y/o en temas
puntuales, a petición de la Alta Dirección y de acuerdo con las necesidades
de la entidad.

2.4.1 Planeación de la auditoría

Se debe elaborar un plan para cada trabajo de auditoría (también denominado programa
de trabajo), igualmente, debe tener un enfoque en riesgos que incluya:

Entendimiento y recorrido de:

§ Proceso o unidad funcional y flujo de información.

§ Objetivos de la entidad, ya sea estratégicos, de proceso o del aspecto a evaluar.
§ Estructura y principales funciones de la unidad o proceso auditado.
§ Principales productos y/o servicios que se desarrollan en el proceso y/o
subproceso, área o unidad, principales herramientas, procedimientos e
indicadores.
§ Aspectos normativos para tener en cuenta que impactan o reglamentan las
actividades del proceso, área o unidad.

14
INSTITUTO DE AUDITORES INTERNOS –IIA GLOBAL. Marco Internacional
para la Práctica Profesional de la Auditoría Interna. Actualizado a enero de
2017. p.50.

33
§ Principales hallazgos o resultados de las auditorías anteriores (incluye entes
internos y externos como revisoría fiscal, contralorías, entre otros.)
§ Eventos de riesgos operativos materializados.

§ Áreas involucradas en el proceso o unidad. Cuando se trata de procesos que son

desarrollados por varias áreas, se deben identificar e incluir en el alcance como
parte de la auditoría. Cuando se trate de un proceso, identificar las actividades
que adelanta o en las que interviene.
§ Actividades de control a nivel entidad y del aspecto a auditar.

§ Identificación y valoración de riesgos y controles clave del proceso o unidad a

través de:
Ô El auditor debe establecer los riesgos del proceso o unidad con base en el
conocimiento y estructura de los mismos y, verificar de los riesgos
establecidos cuáles se encuentran incluidos en la matriz de riesgos.
Ô Revisar los controles asociados al riesgo diseñados por la entidad en cuanto
a su diseño (¿quién lo hace?, periodicidad, ¿qué se hace?, ¿cómo lo hace?,
en caso de observar excepciones, ¿qué pasa? y la evidencia), e identificar si
existen debilidades en el diseño del control.
Ô Realizar diferentes pruebas como la de recorrido o prueba del paso a paso
que le permitan verificar la existencia de controles clave en las actividades
ordinarias y si están funcionando adecuadamente.
Ô Validar tanto el diseño como la ejecución y la documentación del control.
Ô Riesgos con grandes diferencias entre el riesgo inherente y el riesgo residual
Ô Riesgos inherentes extremos.
§ Planeación de pruebas a controles (diseño, efectividad, detalle). Cada actividad de
auditoría (entendimiento del proceso, área o unidad, evaluación del riesgo y
evaluación y prueba de controles) será desarrollada mediante:

Ô Lectura de la documentación vigente del proceso o unidad.

Ô Entrevistas/talleres con el líder del proceso o unidad y el personal
involucrado en el mismo.
Ô Inspección de documentos relacionados con la ejecución del proceso o
unidad;

34
 Ô Solicitud de información adicional, requerida dentro del análisis del proceso
o unidad.

2.4.2 Ejecución de la auditoría

Además de las actividades establecidas en la Guía de Auditorías para Entidades Públicas,

se deben tener en cuenta las siguientes:

§ Identificación de posibles brechas y oportunidades de mejoramiento.

§ Evidenciar la supervisión del trabajo de los auditores en todas las etapas de la
auditoría.
§ Discusión y validación del informe borrador con el líder del proceso o unidad y
definición de planes de mejoramiento estructurales para su remediación.

Los diferentes tipos de trabajo de auditoría, así como la determinación de la muestra de

auditoría y el diseño de las pruebas de auditoría podrán ser consultados en la Guía de
auditoría para entidades públicas del departamento administrativo de la Función Pública
y en su correspondiente caja de herramientas.

2.4.3 Comunicación de resultados (informe de auditoría)

Adicional a lo establecido en la Guía de auditoría para entidades públicas , se debe tener

en cuenta:

§ Informe ejecutivo con los resultados más relevantes de la auditoría y

oportunidades de mejora identificadas
§ Informe detallado con todo el resultado de la auditoría, ejemplos, evidencias,
información complementaria.
§ Las normas internacionales para el ejercicio profesional de la auditoría interna
establecen que los auditores internos, al comunicar los resultados del trabajo,
deben tener en cuenta los siguientes aspectos:

35
 Ô Se deben incluir los objetivos y alcance de los trabajos, así como las conclusiones
correspondientes, las recomendaciones y las fechas para el levantamiento a
planes de mejoramiento.
Ô Cuando se emita una opinión o conclusión debe esta soportada por información
suficiente, confiable, relevante y útil.
Ô Es importante resaltar los resultados satisfactorios del trabajo, es decir, las
fortalezas del aspecto auditado.
Ô Las comunicaciones deben ser precisas, objetivas, claras, concisas, constructivas,
completas y oportunas.
Ô En el informe final se establecen las fechas para la suscripción de los respectivos
planes de mejoramiento, de cara al posterior seguimiento por parte del auditor
interno responsable.

Es necesario recordar que, en el informe final de auditoría, las conclusiones del trabajo
deben responder clara y completamente a los objetivos de auditoría planteados y estar
sustentadas en las observaciones registradas.

La actividad de auditoría interna debe evaluar y contribuir a la mejora de los procesos de

gestión del riesgo, control interno y gobierno de la entidad por medio de un enfoque
sistemático y disciplinado.

2.4.4 Seguimiento

Las unidades de control interno, auditoría interna o quien haga sus veces deben realizar
seguimiento, entre otros, a:

§ Los planes de mejoramiento definidos por la entidad, en respuesta a los

resultados de las auditorías internas y a la Evaluación Independiente al sistema
de control interno. Este seguimiento permite determinar que las acciones

36
 definidas por la entidad, hayan sido pertinentes y se hayan implementado de
manera efectiva.
§ Procesos clave de la gestión institucional, desde los puntos de vista estratégico,
misional, de apoyo y de seguimiento y evaluación, descritos en el ítem de
auditorías internas.
§ Asuntos que le sean solicitados por el representante legal, la junta directiva u
otros órganos directivos; y aquellos requeridos por los órganos de control.
§ Requerimientos normativos.

Es importante recordar la obligación que tiene el representante legal, cada líder de

proceso y demás servidores, de realizar el seguimiento a los controles a su cargo. Si bien
para los seguimientos no se cuenta con una metodología específica, y no siendo estos
menos importantes que las auditorías internas, se considera que deben responder a un
ejercicio planeado, organizado y documentado.

Para fortalecer el desarrollo de este rol, las entidades deben poner en marcha lo
siguiente:

§ Estatuto de auditoría: El Instituto Internacional de Auditores Internos ha

desarrollado el Marco Internacional para la Práctica Profesional de la Auditoría
Interna. Este documento representa la carta de navegación para el ejercicio de la
auditoría interna con relación a los temas de trabajo de las unidades u oficinas de
control Interno, auditoría interna o quien haga sus veces.
§ Para la práctica profesional de esta actividad, se consultó la Norma No.1000 –
propósito, autoridad y responsabilidad, que establece: “El propósito, en la
autoridad y la responsabilidad de la actividad de auditoría interna deben estar
formalmente definidos en un Estatuto” 15.
§ En este orden de ideas, el Estatuto debe contener: el respaldo que la Alta
Dirección otorga a la Oficina de Control Interno, la plataforma estratégica de la
auditoría (misión, visión, objetivos, estrategias y metas), la naturaleza del trabajo

15
Estatuto de Auditoría Interna

37
 en lo que respecta a su rol de evaluación y seguimiento y las herramientas para
implementarlos y fortalecerlos.
§ Declaración de conflictos de interés: las normas internacionales para el ejercicio
profesional de la auditoría interna establecen que:

Los auditores internos deben tener una actitud imparcial y neutral y, evitar
conflictos de intereses. (…) si la independencia u objetividad se viese
comprometida de hecho o en apariencia, los detalles del impedimento deben
darse a conocer a las partes correspondientes. La naturaleza de esta
16
comunicación dependerá del impedimento.

Así mismo, el Código de Ética del Instituto de Auditores Internos17, que hace parte del
marco internacional para el ejercicio profesional de la auditoría interna, establece
respecto a la confidencialidad de la información “que los auditores internos respetan el
valor y la propiedad de la información que reciben y no divulgan información sin la debida
autorización a menos que exista una obligación legal o profesional para hacerlo.”
También señala sobre las reglas de conducta que:

Los auditores internos serán prudentes en el uso y protección de la

información adquirida en el transcurso de su trabajo. No utilizarán información
para lucro personal o que de alguna manera fuera contrario a la ley o en
detrimento de los objetivos legítimos y éticos de la organización.

¿Cuáles son las fuentes de información para el desarrollo del rol de

evaluación y seguimiento?

Las fuentes de información son, entre otras, las siguientes:

16
Marco Internacional para la Práctica Profesional de la Auditoría Interna. Instituto de Auditores
Internos de Colombia
17
Marco Internacional para la Práctica Profesional de la Auditoría Interna. Instituto de Auditores
Internos de Colombia

38
§ Direccionamiento estratégico.
§ Informes de ejecución de la planeación estratégica y de los planes de acción
anuales.
§ Informes de los planes, programas y proyectos institucionales.
§ Informes de ejecución presupuestal.
§ Informes de ejecución del Plan Anual de Adquisiciones.
§ Informes de seguimiento a riesgos.
§ Seguimiento a resultados de indicadores de gestión (tablero de control).
§ Informes de PQR.
§ Resultados de medición del clima organizacional.
§ Informes de auditorías por parte de los entes de control.
§ Informes de seguimiento a cumplimiento de políticas estatales por parte de entes
gubernamentales.
§ Estado de los sistemas de gestión.

39
 4. Glosario
Alta Dirección: comprende los empleos a los cuales corresponden funciones de
dirección general, de formulación de políticas institucionales y de adopción de planes,
programas y proyectos.

Auditoría: examen crítico, detallado y sistemático, realizado a una entidad, a una unidad
o área específica, o a un proceso, o a un proyecto, o a un producto, utilizando técnicas
específicas, con el objeto de emitir una opinión independiente sobre su operación, sus
resultados, sus controles, y realizar las recomendaciones pertinentes.

Auditoría interna: es una actividad independiente y objetiva de aseguramiento y

consulta, concebida para agregar valor y mejorar las operaciones de una entidad.

Ayuda a una entidad a cumplir sus objetivos aportando un enfoque sistemático y

disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos,
control y gobierno.

Añadir / agregar valor: el valor se genera mediante la mejora de oportunidades para

alcanzar los objetivos de la organización, la identificación de mejoras operativas, y/o la
reducción de la exposición al riesgo, tanto con servicios de aseguramiento (evaluación y
seguimiento) como de consultoría (Asesoría y acompañamiento).

Asesorar: dar consejo o dictamen. (RAE)

Autocontrol: en el marco del sistema de control interno, se entiende por autocontrol la

capacidad que deben desarrollar todos y cada uno de los servidores públicos de la
organización, independientemente de su nivel jerárquico, para evaluar y controlar su
trabajo, detectar desviaciones y efectuar correctivos de manera oportuna para el
adecuado cumplimiento de los resultados que se esperan en el ejercicio de su función, de
tal manera que la ejecución de los procesos, actividades y/o tareas bajo su

40
responsabilidad, se desarrollen con fundamento en los principios establecidos en la
Constitución Política.

Cultura organizacional: se entiende por cultura organizacional un conjunto de valores,

tradiciones, creencias, hábitos, normas, actitudes y conductas que dan identidad,
personalidad y destino a una organización para el logro de sus fines económicos y
sociales.

Conflicto de intereses: se refiere a cualquier relación que vaya o parezca ir en contra

del mejor interés de la organización. Un conflicto de intereses puede menoscabar la
capacidad de una persona para desempeñar sus obligaciones y responsabilidad de
manera objetiva.

Control: cualquier medida que tome la dirección y otras partes para gestionar los riesgos
y aumentar la probabilidad de alcanzar los objetivos y metas establecidos. La dirección
planifica, organiza y dirige la realización de las acciones suficientes para proporcionar
una seguridad razonable de que se alcanzarán los objetivos y metas.

Control interno eficaz: el control interno puede considerarse eficaz en cada una de las
tres categorías, respectivamente, si la dirección tiene seguridad razonable de que:

§ Conocen en qué medida se están alcanzando los objetivos operacionales de la

entidad.
§ Los estados financieros públicos se han preparado en forma fiable y se está
siendo transparente a la hora de rendir cuentas.
§ Se están cumpliendo las leyes y normas que le son aplicables a la unidad.

Efectividad: medida del impacto de la gestión tanto en el logro de los resultados

planificados, como en el manejo de los recursos utilizados y disponibles.

Eficacia: Grado en el que se realizan las actividades planificadas y se alcanzan los

resultados planificados.

Eficiencia: capacidad de producir el máximo de resultado con el mínimo de recursos,

energía y tiempo.

Evaluación: valorar el avance y los resultados de un proceso a partir de evidencias.

41
Evidencia: certeza clara y manifiesta que resulta innegable y de la que no se puede
dudar.

Gestión: actividades coordinadas para planificar, controlar, asegurar y mejorar una

entidad.

Gestión de riesgos: proceso para identificar, evaluar, manejar y controlar

acontecimientos o situaciones potenciales, con el fin de proporcionar un aseguramiento
razonable respecto al alcance de los objetivos de la organización.

Hallazgo: cualquier situación relevante que se determine mediante procedimientos de

Auditoría, sobre áreas o procesos críticos objeto de examen, que será de utilidad para
emitir un juicio de valor.

Objetividad: utilización de un método que permita observar los hechos de la entidad y la

gestión de los servidores, de tal forma que los hallazgos y conclusiones estén soportadas
en evidencias.

Pericia: es la habilidad, sabiduría y experiencia que tiene una persona en una

determinada materia.

Política: directriz emitida por la dirección de la organización sobre lo que hay que hacer
para efectuar el control. Constituye la base de los procedimientos que se requieren para
la implantación del control.

Riesgo: la posibilidad de que ocurra un acontecimiento que tenga un impacto en el

alcance de los objetivos. Se mide en términos de impacto y probabilidad.

Seguridad razonable: concepto según el cual el control interno, por muy bien diseñado y
ejecutado que esté, no puede garantizar que los objetivos de una entidad se consigan,
debido a las limitaciones inherentes de todo sistema de control interno.

42
10. Anexos

Anexo 1: Estatuto de Auditoría-modelo

Anexo 2 Modelo código de etica auditores

internos

Anexo 3 Reporte de conflictos de interés y

-
confidencial – personal de la unidades de

P Ú B L I C A
control interno.

Anexo 4 Contenidos a considerar para la

F U N C I Ó N
declaración de conflictos de interés para
todos los servidores de la entidad

-
Anexo 5 Carta de representación

Anexo 6 Evaluación de auditores internos por

parte del líder de proceso auditado

43
 Bibliografía
Committee of Sponsoring Organizations of the Treadway Commission (COSO) 2017

INSTITUTO DE AUDITORES INTERNOS –IIA GLOBAL. Marco Internacional Para la

Práctica Profesional de la Auditoria Interna. Actualizado a enero de 2017

INSTITUTO DE AUDITORES INTERNOS –IIA GLOBAL - Más allá del aseguramiento, el

auditor interno como asesor de confianza. Mayo 2017

FUNCIÓN PÚBLICA, Guía para la administración del riesgo y el diseño de controles en

entidades públicas, Octubre de 2018.

INSTITUTO DE AUDITORES INTERNOS –IIA GLOBAL , Declaración de posición. Rol de la

Auditoría interna en la Gestión del riesgo empresarial, 2004

44
 Guía rol de las unidades
u oficinas de control
interno, auditoría interna
o quien haga sus veces
Dirección de Gestión y Desempeño Institucional
Diciembre de 2018
BOGOTÁ, D.C., COLOMBIA
-
O F I C I A L
D O C U M E N T O
-

Departamento Administrativo de la Función Pública

Carrera 6 No.º 12-62, Bogotá, D.C., Colombia
Conmutador: 7395656 Fax: 7395657
Web: www.funcionpublica.gov.co
eva@funcionpublica.gov.co
Línea gratuita de atención al usuario: 018000 917770
Bogotá, D.C., Colombia.

V ISÍTAN OS O ESC RÍBENO S: